7网络安全技术..ppt

《7网络安全技术..ppt》由会员分享，可在线阅读，更多相关《7网络安全技术..ppt（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第七章 网络安全技术 网络入侵和安全防范实际上就是指网络攻防技术。攻击技术包括目标网络信息收集技术，目标网络权限提升技术，目标网络渗透技术，目标网络摧毁技术四大类。我们面对越来越多的新技术的攻击。网络安全防护技术具体来说包括攻击检测，攻击防范，攻击后的恢复这三个大方向，每一个方向上有代表性的产品：入侵检测系统负责进行攻击检测，防火墙和强制访问控制系统负责攻击防范，攻击后的恢复则由自动恢复系统来解决。这三大方向就说明了在网络安全防护上的多层安全防护措施。本课知识点 w网络存在的威胁、网络安全技术分类、黑客的历史与现状。w网络攻击的分类及一般步骤用w扫描、监听与嗅探。w口令破解及如何设置安全的口令

2、。w如何实现隐藏以及几种常见的入侵攻击方法 w后门和特洛伊木马 第1小节 网络安全概述随着网络的普及，安全日益成为影响网络效能的重要问题。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。w网络存在的威胁w网络安全技术介绍网络存在的威胁 一般认为，目前网络存在的威胁主要表现如下几点 w非授权访问，指没有预先经过同意，就使用网络或计算机资源。w信息泄漏或丢失，指敏感数据在有意或无意中被泄漏出去或丢失 w破坏数据完整性，指以非法手段窃得对数据的使用权 w拒绝服务攻击，指它不断对网络服务系统进行干扰 w利用网络传播病毒，指通过网络传播计算机病毒，其破坏性大

3、大高于单机系统，而且用户很难防范。网络安全技术简介 w入侵检测技术 目的是提供实时的入侵检测及采取相应的防护手段 w防火墙（FireWall）技术 防火墙（FireWall）是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术 w网络加密和认证技术w网络防病毒技术。w网络备份技术 第2小节 黑客 w黑客与入侵者什么是黑客呢？黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。入侵者（Cracker，有人翻译成“骇客”）是那些利用网络漏洞破坏系统的人，他们往往会通过计算机系统漏洞来

4、入侵。w黑客的历史与现状 黑客动向有以下几个特点：组织越来越扩大化 行动越来越公开化 案件越来越频繁化 情况越来越复杂化 第3小节 网络攻击在最高层次，攻击可被分为如下两类：w主动攻击主动攻击包含攻击者访问他所需信息的故意行为w被动攻击被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察。攻击的步骤：隐藏 探测 找出被信任的主机寻找目标网中的漏洞攻击 第4小节 扫描 探测、收集目标信息的方法主要有扫描、监听和嗅探。扫描是一种主动获取信息的方法，而监听、嗅探是被动的探测方法。扫描按内容可分为:w端口扫描 系统扫描 漏洞扫描 扫描的范围可分为 单机扫描 网段扫描 端口扫描“

5、端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回的端口状态来分析目标计算机的端口是否打开、是否可用。端口扫描器在扫描过程中主要具有以下三个方面的能力。（1）发现一个计算机或网络的能力。（2）一旦发现一台计算机，就有发现目标计算机正在运行什么服务的能力。（3）通过测试目标计算机上的这些服务，发现存在的漏洞的能力。利用原始套接字编程进行扫描可以制定特定的数据格式实现更为隐蔽的扫描如:TCP SYN扫描 TCP FIN扫描 IP段扫描 ICMP扫描 ICMP扫描ICMP（Internet Control Message Protocol，Internet控制信息协议）

6、为IP堆栈发送简单的信息，其中也包括错误信息。（1）Ping操作是最常用的ICMP应用。（2）ICMP的时间戳（Timestamp，类型13）会产生一个时间戳应答（TimestampReply，类型14），但是只有在UNIX系统中才出现这种情况，微软的IP堆栈中没有此项功能。（3）ICMP地址掩码请求（AddressMaskRequest，类型16）只会被路由器通过地址掩码应AddressMaskReply，类型17）来回答。（4）重定向报文（Redirect，类型5）用于调整路由表。（5）超时报文（Time Exceeded，类型11）通常用于错误处理，也可以用于定位网络。系统扫描 漏洞扫描

7、 w通过端口扫描，初步确定了系统提供的服务和存在的后门。但这种确定是选取默认值，即认定某一端口提供某种服务，例如80端口便认定为提供HTTP服务，这种认定是不准确的。另外为要了解目标的漏洞和进一步的探测，则需对目标的操作系统、提供各项服务所使用的软件、用户、系统配置信息等进行扫描，这就是系统扫描。w漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。扫描器实例 在国外比较常用的有Nmap、Cerberus Internet Scanne

8、r（简称CIS）以及SATAN；国内的有安全焦点的X-Scanner与小榕的流光。Nmap w安装Nmapw常用扫描类型常用扫描类型 下面是Nmap支持的四种最基本的扫描方式。（1）TCP connect()端口扫描（-sT参数）。（2）TCP同步（SYN）端口扫描（-sS参数）。（3）UDP端口扫描（-sU参数）。（4）Ping扫描（-sP参数）X-Scanner w扫描设置 w扫描过程及结果 X-Scanner会将扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件,并对于一些已知漏洞，X-Scanner给出了相应的漏洞描述，利用程序及解决方案。X-Scanner扫描的

9、内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认账户、FTP弱口令和共享扫描，他们能揭示出许多麻痹大意的网管容易犯的一些低级错误。第5小节 监听与嗅探 v监听与嗅探是用于捕获流过嗅探器位置的网络数据包，并对其进行分析。v由于流过的数据量非常大，因而必须有针对性的对数据过滤和分析，按分析的数据划分可分为本机监听、网段监听和密文嗅探。v通过网络监听、嗅探可了解网络中通信状况，截获传输的信息，提取与口令相关的数据。监听、嗅探的实施受网络物理结构的限制，它们是将网卡设置为混杂（promiscuous）模式，即对流经网卡的所有数据全部接收。本机监听 网段监听 w本机监听多

10、用于安全防范，查看是否有非法连接和后门程序的存在。w进行网段监听可以发现哪些主机之间正在进行频繁、大量的数据传输，以此来推测网段中主机之间的相互信任关系。通过监听获悉网络通信状况，分析网络中的数据流量，确定网络中通信、控制中枢。嗅探器及其防范嗅探器可以捕获网络上所有的报文，但实际上嗅探必须对报文进行选择，可以依据以下几点:地址 协议 关键字 报文大小 通常防范嗅探器主要有以下几种方法:安全的拓扑结构 用静态的ARP或者IPMAC对应表代替动态的ARP或者IPMAC对应表 会话加密第6小节口 令 安 全 v口令破解 口令破解中最快的是利用系统漏洞进行破解，其次利用字典破解，最慢的是利用加密算法的

11、逆运算进行破解。v设置安全的口令 选择有效的口令可从以下几个方面入手:1.千万不要使用你的用户名或真名做口令。2.不要认为口令只能是数字，或只能是字母，口令可以使用：262（大小写字母）+10（数字）+33（标点符号）=95个字符。3.不要使用对称性密码，如!dfd!。第6小节 口 令 安 全 4.口令越长，“暴力搜索”需要的时间就越长。5.不要使用你的配偶、孩子、宠物、朋友或所在地的名字，以及生日、证件号码、电话号码等有关你的任何信息做口令。6.不要使用任何语言的单词或单词的变形作口令。7.千万不要将口令告诉他人，无论他是谁或声称是谁。8.在不同的登录中不要使用同一个口令。9.永远不要对你的

12、口令过于自信，要定期更换口令。10.如果登录过程中出现了令人意外的现象，要考虑到是否有“特洛伊木马”伪装的登录屏正在套取你的口令或用户名？清除记录 日志文件详细记录了系统中任何人所做的任何事情。很多管理员没有将记录日志文件的功能选项打开，而且即使打开了，也没有对它进行定期阅读。除了系统自带的安全审计外，网络管理人员还可能安装了第三方监测程序，对于查找这些程序产生的记录可以通过以下方法:（1）检查已经安装的安全程序。（2）检查SYSLOG配置和记录。（3）搜索所有在登录后有变化的文件。（4）查找所有打开的文件、程序。第7小节 隐藏 通过跳板、代理实现隐藏 若获得了用户登录口令，则可进一步登录到系

13、统中；若没能获得口令，则采取其他的方法如测试系统可能存在的漏洞，如利用监听、嗅探捕获密文，暴力攻击等方法，但在进行这些行动之前最好先完成必要的防范措施。首先监听自身网络安全性，若发现被追踪迹象则立即暂停或离线，接着寻找防止被跟踪（即达到隐藏目的）的方法和途径。实现隐藏则要使对方不产生记录或记录错误；若控制权限较高或利用漏洞可清除记录，还可搜寻可用于作为中转跳板的主机。第8小节 入 侵 攻 击v拒绝服务攻击v缓冲区溢出攻击v欺骗攻击拒绝服务攻击v通常拒绝服务攻击可分为以下两种类型 第一种是使一个系统或网络瘫痪第二种攻击是向系统或网络发送大量信息，使系统或网络不能响应 1.拒绝服务攻击类型:Pin

14、g of Death TearDrop Land Smurf SYN flood Win Nuke RPC Locator 2.分布式拒绝服务攻击 一个比较完善的DDoS攻击体系分成以下四大部分。攻击者所在机 控制机（用来控制傀儡机）傀儡机 受害者 缓冲区溢出攻击 v其中最著名的例子是：1988年，Internet蠕虫程序在finger中利用缓冲区溢出感染了Internet中的数千台机器。v目前主要有以下四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响 1.1.非执行的缓冲区非执行的缓冲区 2.2.编写正确的代码编写正确的代码 3.3.数组边界检查数组边界检查 4.4.程序指针完整性检查程序

15、指针完整性检查 欺骗攻击 vARP数据包欺骗 vDNS欺骗 vWEB欺骗 基本的网站欺骗 man-in-the-middle攻击 URL重写 v电子邮件欺骗 相似的电子邮件地址 修改邮件客户身份 登录SMTP服务器 第9小节 后门和特洛伊木马w 什么是后门和木马 w几个常见的木马w怎样检测与清除木马 什么是后门和木马w简单地说，后门（backdoor）就是攻击者再次进入网络或者是系统而不被发现的隐蔽通道。w特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下执行。其名称源于古希腊的特洛伊木马神话。w一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者

16、远程控制植入木马的机器，服务器端程序即是木马程序。v 攻击OICQ密码的GOP木马 几个常见的木马 BO2000 BO的全称是BackOrifice（文雅一点的中文译名应该叫后门）。它是一个可以搜集信息、执行系统命令、重设置机器、重定向网络的客户机服务器应用程序。冰河 冰河是一个免费软件，主要用于远程监控。Net spy Netspy是国内高手编写的一个Windows 9598下运行的客户机/服务器模式的远程控制软件，它由客户程序和服务器程序两部分组成 Happy99 Happy99是一个在Internet上传播的蠕虫程序，主要以邮件的形式传递。怎样检测与清除木马 1木马程序的检测鼠标操作 首先，查看system.ini、win.ini、启动组中的启动项目。其次，查看注册表。2清除木马 本章总结.习题:1.网络面临的威胁有哪些？2.简述主要的网络安全技术。3.有哪些网络攻击类型？简述黑客攻击一般步骤？4.简述扫描的目的及分类？说出它们的典型示例？5.什么是监听与嗅探？如何进行防范？6.口令破解的手段有哪些？如何设置安全的口令？7.如何实现跳板攻击？8.简述常见的入侵攻击方法及其原理。9.简述特洛伊木马的攻击原理及防范措施。10上机练习：熟练使用“X-Scanner”安全漏洞扫描工具,熟练使用“NetXRay”,练习手工检测及清除木马。